Absurdy RODO – to niewiedza „pseudospecjalistów” od danych osobowych

„Bo RODO” – takie tłumaczenie słyszymy coraz częściej w szkole, w urzędzie, w szpitalu, dosłownie wszędzie. Jeden z wyborców powiedziałby: „i jak tu żyć Panie Premierze”. To wszystko to jakieś absurdy RODO, z reguły niepotrzebne. Wielu uznało, że wejście w życie RODO oznacza całkowity zakaz używania takich danych jak imię i nazwisko w codziennym życiu. Strach przed złamaniem nowych przepisów jest tak ogromny, że skala nadinterpretacji spowodowała całkowity paraliż w życiu codziennym. Zdarzają się przypadki blokowania dostępu do informacji publicznych, a nawet zakazy informowania rodziców o stanie zdrowia ich dzieci. Okazuje się, że w praktyce dla wielu RODO = zakaz posługiwania się danymi osobowymi. Co prowadzi do absurdów.

Wejście w życie z dniem 25 maja 2018 roku Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”, spowodowało ogromne zamieszanie na rynku usług związanych z ochroną danych osobowych. Z jednej strony do gry włączyły się duże podmioty (kancelarie prawne, przedsiębiorstwa IT), które do tej pory nigdy nie zajmowały się tematyką danych osobowych, a z drugiej mamy do czynienia z pojawieniem się znikąd „pseudospecjalistów” oferujących szeroko pojętą „pomoc” w obszarze ochrony danych osobowych. Ci drudzy to niewielkie firmy, które także chcą uszczknąć nieco wisienki z tego tortu. I jaki mamy teraz efekt ???

Właśnie taki, że przez nierzetelnych lub niedouczonych „pseudospecjalistów”, urzędnicy i przedsiębiorcy wpadli w popłoch powodując paraliż ich funkcjonowania. Opinia publiczna często wyraża się zdaniem „a po co nam to RODO?”

To nie RODO jest złe, tylko niewiedza

Po 25 maja 2018 roku, przetwarzanie danych osobowych takich jak np. nazwisko klienta, wciąż jest możliwe. Trudno zresztą, żeby było inaczej. Wymiana informacji (a nimi są dane osobowe) to podstawa życia społecznego. Główną ideą stojącą za RODO jest natomiast to, aby nasze dane były zbierane i wykorzystywane za naszą zgodą i w sposób celowy. Co więcej, do danych osobowych należy też zaliczyć numer telefonu, który zarejestruje np. operator infolinii w pizzerii, choćby po to, aby w razie czego móc zadzwonić do klienta, że pizza przyjedzie kilkanaście minut później.

Dane te muszą być między innymi:

• przetwarzane zgodnie z prawem,
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Cały sens rozporządzenia RODO, został przedstawiony powyżej w kilku zdaniach. Czy to brzmi strasznie? albo jest powodem do paniki i absurdów? No nie – po prostu wymusza to na administratorach – czyli podmiotach gromadzących i przetwarzających dane, podjęcie określonych czynności gwarantujących, że nasze dane znajdują się w dobrych rękach.

Absurdy RODO

Nowe przepisy o ochronie danych osobowych doprowadziły do szeregu absurdalnych sytuacji. Szkoły nie wiedzą, jak chronić dane osobowe uczniów, a panika RODO dotarła nawet do urzędów i szpitali – postrach sieją najczęściej nierzetelne firmy lub „pseudospecjaliści”, którzy nagle pojawili się nie wiadomo skąd, o ironio, akurat po zmianie przepisów.

Przykłady na absurdy RODO:

Szpital nie udziela informacji o pacjentach

Jeden za szpitali, do którego trafiły dzieci z wypadku drogowego, odpowiadał na pytania dzwoniących rodziców „Nie mogę Pani powiedzieć, czy Pani dziecko jest w naszym szpitalu” zasłaniając się RODO.

w czerwcu 2018 roku miał miejsce wypadek autokarowy z dziećmi jadącymi w góry na wakacje. Okazało się, że  niektórzy rodzice nie mogli uzyskać telefonicznie informacji, do którego szpitala trafiły ich pociechy. Pracownicy szpitali zasłaniali się, oczywiście, RODO. O ile miałoby to sens w przypadku zapytania się recepcjonistki w szpitalu o dane wszystkich pacjentów znajdujących się w placówce, o tyle udzielenie informacji czy konkretny pacjent (którego dane rodzice przecież podali) jest nie tylko legalne, co wręcz słuszne i właściwe.

Należy pamiętać, że RODO definiuje dostęp do danych osobowych, który ma być tylko dla osób upoważnionych – rodzic jest taką osobą. Wystarczyło w odpowiedni sposób zidentyfikować osobę dzwoniącą w sprawie swojego dziecka i wówczas można było przekazywać informacje o stanie zdrowia. Co więcej, rodzice w tej sytuacji chcieli tylko informacji „czy moje dziecko leży w tym szpitalu” podając imię i nazwisko, które w tej konkretnej sytuacji nie są daną osobową i można było podać te informacje bez odpowiedniej identyfikacji.

Szkoła powiela absurdy RODO

Dyrektor jednej ze szkół podjął decyzję, że nie będzie publicznie na uroczystości szkolnej wyczytywał imion i nazwisk uczniów wręczając świadectwa z wyróżnieniem. Oczywiście jest to błędny kierunek, gdyż takie nazwiska MOŻNA! wyczytywać. Pamiętajmy, RODO dotyczy danych w systemach lub zbiorach i nie ogranicza relacji międzyludzkich. Szkoła ze swojej istoty przetwarza dane osobowe (nauczycieli, rodziców, uczniów). Wręczenie świadectwa z paskiem nie musi odbywać się potajemnie z powodu RODO – jest to kolejny absurd RODO.

Mimo to, wielu nauczycieli już nie posługuje się imionami, tylko numerami z dziennika. W jednym z liceów lista obecności sprawdzana była po literach klas i numerach w dzienniku np. F1, F2, F3 i tak dalej. Wydaje się jednak, że zwłaszcza w Polsce, w obliczu byłych obozów koncentracyjnych, nazywanie uczniów numerami zamiast nazwiskami czy imionami wydaje się być nie na miejscu. RODO zaś tego nie nakazuje – w końcu i tak w codziennej edukacji nauczyciel nie prosi ucznia do tablicy po numerze, czy uczeń nie prosi innego kolegę lub koleżankę po numerze tylko oczywiście po imieniu czy nazwisku. Jednocześnie nie sposób nie wskazać, że w społeczności szkolnej dane w zakresie imienia i nazwiska nie są danymi anonimowymi. Ich udostępnianie w relacjach międzyludzkich wewnątrz szkoły zapewnia nawiązywanie normalnych relacji.

Przedszkola też nie wiedzą jak postępować z RODO

Kolejny przypadek to jedno z podwarszawskich przedszkoli, które postanowiło, że po wejściu w życie RODO nie będzie korzystało z karteczek z imionami i nazwiskami dzieci na szafkach w szatni, tylko wykorzysta do tego figury geometryczne. Dodatkowo prace plastyczne dzieci zostały zanonimizowane, by tych prezentowanych publicznie lub na konkursach nie opisać imieniem i nazwiskiem przedszkolaka. Moja rada, by dyrektor takiego przedszkola jak najszybciej zakończył współpracę z „pseudospecjalistą” RODO, który takie anomalie każe wprowadzać, gdyż w innym przypadku może to stwarzać kolejne absurdy RODO.

W moim odczuciu należy przeprowadzić szkolenie RODO dla nauczycieli, ale nie w postaci prezentacji i paragrafów, ale w formie doradczej, rozmowy, seminarium, na bieżąco rozwiązując codzienne problemy szkoły.

Sprzedawca nie chce zapisać danych do wystawienia faktury VAT, bo RODO

U jednego ze sprzedawców pod nieobecność fakturzystki, inny pracownik nie chciał przyjąć danych do wystawienia faktury VAT, zasłaniając się RODO, odpowiedź tego pracownika była następująca „Nie przyjmę danych do faktury, proszę przyjść między godz. 10.00 a godz. 14.00, jak będzie fakturzysta”. Ten absurd RODO jest jednym z moich ulubionych, to całkowita niekompetencja pracownika, brak wiedzy, może brak szkoleń. Ale przecież, ktoś temu pracownikowi musiał doradzić jak postępować, może ten „pseudospecjalista” który sam potrzebuje szkolenia RODO.

Żeby klient otrzymał fakturę za zakupiony towar czy usługę, musi – co oczywiste – podać dane do faktury. Nazwę firmy, adres, nr NIP – to przecież nic tajnego, są to informacje ujawnione w oficjalnym, publicznie dostępnym rejestrze CEIDG lub w Krajowym Rejestrze Sądowym. Co więcej, wydanie faktury na żądanie klienta jest obowiązkiem sprzedawcy. Jak widać, nie wszędzie ten obowiązek jest realizowany bezproblemowo, pewnie do pierwszej kontroli Urzędu Skarbowego.

Pracownicy firmy stali się numerami po wdrożeniu RODO

Podobnie jak w przypadku uczniów, zwłaszcza w Polsce w obliczu byłych obozów koncentracyjnych, nazywanie uczniów numerami zamiast nazwiskami czy imionami wydaje się być nie na miejscu. RODO zaś tego nie nakazuje. Pracodawca i pracownicy mogą posługiwać się imieniem i nazwiskiem.

Jedno z biur rachunkowych ponumerowało swoich pracowników w następujący sposób:

Dział Kadr (po wdrożeniu RODO)
Pracownik #456
Pracownik #93
Pracownik #45
Pracownik #76
Pracownik #61

Owszem takie jest prawo pracodawcy, jeżeli życzy sobie numerowania pracowników to proszę bardzo, ale nie jest to obowiązek wynikający z RODO, a tym bardziej nie stanowi anonimizacji danych osobowych.

Nawet Sejm padł ofiarą RODO-paniki

Podczas jednego z posiedzeń Sejmu nagle słyszymy „Przerywamy transmisję z Sejmu, bo RODO”. Ten przypadek, również jest na liście moich ulubionych „absurdów RODO” typu – pod latarnią najciemniej. To, że RODO namieszało w głowach zwykłym obywatelom – w pewnym sensie można zrozumieć. Zbyt dużo było szumu o tym, jakie to RODO jest straszne, że nic dziwnego, że niektórzy się po prostu przestraszyli zmian i wolą dmuchać na zimne. Ale gdy takie rzeczy robią sejmowi prawnicy, nakazujący przerwanie transmisji z wysłuchania kandydatów na ławników do Sądu Najwyższego, to już rzeczywiście ewidentny problem w interpretacji przepisów.

Przecież dostęp do informacji o działaniach władzy publicznej – w tym w formie rejestracji obrazu i dźwięku posiedzeń organów pochodzących z wyboru – jest wprost zapisana w konstytucji art. 61, który brzmi: Prawo do uzyskiwania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu (…).

W naszym sklepie internetowym możesz kupić dokumentację bezpieczeństwa danych osobowych zgodną z RODO. Zapraszamy na zakupy.

Dokumentacja RODO

Transmisja online z obrady Rady Miejskiej również została zablokowana „bo RODO”

Na jednej z oficjalnych stron miasta w Polsce można przeczytać: „Uprzejmie informujemy że w związku z wejściem w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych z dnia 27 kwietnia 2016 r. (Dz. U. UE. L. z 2016 r. Nr 119) transmisja ONLINE z obrad Sesji Rady Miejskiej w XXXXXX została czasowo wstrzymana. Brak jest możliwości podpisania z serwisem YouTube, za pośrednictwem którego transmisja była realizowana, umowy powierzenia przetwarzania zgodnej z RODO. Jednocześnie informujemy, że analizujemy inne rozwiązania, które pozwolą wznowić transmisję”.

Gwoli przypomnienia, zgodnie z art. 28 rozporządzenia RODO, umowy powierzenia należy podpisywać w przypadku, kiedy przetwarzający wykonuje zadania w zakresie ochrony danych osobowych w imieniu administratora. Gdzie tutaj takie zadania dla Youtube’a? Widocznie włodarzy tego miasta to przerosło. Tutaj ponownie mamy do czynienia z art. 61 Konstytucji.

Dane radnych biorących udział w posiedzeniu nie są przecież tajne, wiele informacji można znaleźć w oświadczeniach majątkowych, dodatkowo są to przecież osoby publiczne. W tym przypadku jest to kolejna nadinterpretacja przepisów.

Niepełnosprawni nie dostaną zniżki na parkowanie „bo RODO”

Do tej pory, aby niepełnosprawni kierowcy otrzymali zniżkę na abonament parkingowy w strefach płatnego parkowania, musieli złożyć wniosek zawierający tzw. dane wrażliwe i to wystarczyło. RODO w tej kwestii nic nie zmieniło. Zasady postępowania są dokładnie takie same. Kiedyś były to dane wrażliwe, a dzisiaj są to dane szczególnej kategorii.

Włodarze jednego z miast przestały przyjmować wnioski od niepełnosprawnych „bo RODO”, i że podobno w świetle obowiązujących przepisów, gromadzić takich materiałów nie mogą, zasłaniając się tym, iż nie mogą przetwarzać i gromadzić informacji, dlaczego ktoś jest osobą niepełnosprawną. Błędnie potwierdził to rzecznik tego miasta oraz radny.

Przecież to są  jakieś kolejne absurdy RODO.  Rozporządzenie o ochronie danych osobowych mówi bardzo wyraźnie o tym, że jeżeli jest to konieczne dla ochrony praw socjalnych określonych osób, i przepis to przewiduje, dane szczególnej kategorii gromadzić można, w tym o niepełnosprawności.

Z powodu RODO cmentarz został zamknięty, bo nagrobki zawierały imiona i nazwiska

Jak przyjęło się w życiu codziennym, człowiek może być pewny tylko dwóch rzeczy: śmierci i podatków. Oba te przypadki związane są z przetwarzaniem danych osobowych. Na nagrobkach znajdziemy imię i nazwisko, datę urodzenia i śmierci,zaś na PIT-ach znajdziemy o wiele więcej danych. Fakt przetwarzania danych osobowych przestraszył jednego z administratorów cmentarza, ponieważ część grobów została wykupiona przez osoby żyjące, na których umieszczono imię i nazwisko osoby żyjącej oraz jej datę urodzenia. Strach przed RODO był tak wielki, że owy administrator cmentarza postanowił zamknąć cmentarz, ponieważ bał się, że przetwarza dane osobowe osób żyjących bez upoważnienia. Jak się okazało, nawet na cmentarzu nie można zastać spokoju. Jest to oczywiście kolejny absurd RODO, który nie powinien mieć miejsca, a kupowanie i umieszczanie imienia i nazwiska na nagrobku jest zgodne z prawem.

Chcę skorzystać z prawa do bycia zapomnianym i żądam usunięcia swoich danych z bazy PESEL

RODO przewiduje pewne prawa jak „zgoda na przetwarzanie danych” czy „prawo do bycia zapomnianym”. To drugie jest szczególnie mocno komentowane w społeczeństwie internetowym. Wielu obywateli zinterpretowało te przepisy w sposób co najmniej kuriozalny lub wręcz komiczny. Co najmniej setka osób wystąpiła do Ministerstwa Cyfryzacji z żądaniem usunięcia danych z bazy PESEL. Uzasadniano to skorzystaniem z prawa RODO do bycia zapomnianym. Oczywiste jest, że taki wniosek nie jest możliwy do spełnienia – gdyż baza PESEL regulowana jest innymi przepisami szczegółowymi. Prawo do bycia zapomnianym dotyczy tych zbiorów, z których można się usunąć, np. forum dyskusyjne, portale, sklepy internetowe (po 5 latach, ze względu na przepisy o rachunkowości).

Kup szafy zamykane na klucz, bo RODO

Wejście w życie nowych przepisów o ochronie danych osobowych, spowodowało dużą skalę nadużyć, typu:

• kup u nas szkolenie RODO, to będziesz w zgodności z RODO,
• kup u nas dokumentację, bo RODO to na Ciebie wymusza,
• Musisz mieć szafy zamykane na klucz, najlepiej pancerne.

Niestety wiele osób próbuje podpiąć się pod szał związany z RODO. Wymuszenia w związku z RODO są częste, a wielu nieuczciwych przedsiębiorców żeruje na niewiedzy ludzi, wciskając im drogie, niby obowiązkowe, szkolenia czy obowiązkowe audyty RODO za duże pieniądze.

Jednym z pomysłów na zarobek jest właśnie oferowanie m.in. „szaf RODO”, bo rzekomo unijne rozporządzenie wymaga specjalnych mebli do przechowywania teczek akt osobowych czy innej dokumentacji RODO. Tymczasem, zgodnie z art. 32 RODO:  „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.

Oczywiście są to absurdy RODO. Prawdopodobnie dotychczas używane szafy są odpowiednie – to zresztą pewnie te same meble, które teraz są oferowane jako „zgodne z RODO”. Podobnie kilka lat temu na podobnej zasadzie mówiło się o „specjalnych” produktach bez glutenu, które jak się często okazywało zwykłe produkty też tego glutenu nie posiadały.

Podsumowanie

Nie dajmy się zatem zwariować. RODO, choć ważne, ma społeczeństwu pomagać i chronić dane osobowe osób, a nie stawiać przed nimi przeszkody nie do pokonania. Jeśli tak się dzieje, to raczej to problem leżący po stronie administratora danych, który jest po prostu zbyt nadgorliwy (nadinterpretuje przepisy) lub najzwyczajniej nie posiada odpowiedniej wiedzy, a nie przepisów prawa.

Wraz z wejściem przepisów RODO nie trzeba wszystkiego zmieniać; niektórzy stwarzają wrażenie, jakby nagle przetwarzanie danych osobowych stało się nielegalne. Absurdy RODO to raczej objaw niewiedzy.

Nazywam się Rafał Wielgus, jestem międzynarodowym audytorem wiodącym ISO 27001 i Inspektorem Ochrony Danych. Świadczę kompleksowe usługi z zakresu ochrony danych osobowych, skutecznie wdrażam RODO dla firm i instytucji, prowadzę szkolenia oraz audyty.

Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.

Zobacz cennik